Corea del Norte Señalada por Sofisticada Campaña de Malware Criptográfico Dirigida al Sector Fintech

Investigadores de seguridad en la división Mandiant de Google Cloud han descubierto una operación cibernética coordinada vinculada a Corea del Norte que apunta agresivamente a empresas de criptomonedas y fintech. El grupo de amenazas, denominado UNC1069, representa una escalada significativa en la actividad detectada por primera vez en 2018, ahora desplegando un arsenal de herramientas maliciosas combinadas con técnicas avanzadas de ingeniería social para infiltrarse en objetivos de alto valor en el espacio de activos digitales.

El grupo de amenazas UNC1069 - Una operación persistente vinculada a Corea del Norte

La investigación de Mandiant reveló una campaña de intrusión meticulosamente orquestada que introduce un conjunto completo de nuevas herramientas de ataque. La operación demuestra una evolución en las capacidades cibernéticas de Corea del Norte, con los investigadores confirmando el despliegue de siete familias de malware distintas diseñadas específicamente para esta campaña. Según la evaluación detallada de amenazas de Mandiant, esta actividad marca una expansión significativa respecto a operaciones anteriores del grupo, indicando una inversión sostenida en el desarrollo de infraestructura de ataque sofisticada dirigida al sector fintech.

Siete familias de malware diseñadas para la exfiltración de datos

El nuevo kit de herramientas de malware incluye SILENCELIFT, DEEPBREATH y CHROMEPUSH, tres variantes particularmente peligrosas diseñadas para superar las defensas de seguridad modernas. CHROMEPUSH y DEEPBREATH fueron específicamente creadas para sortear protecciones críticas del sistema operativo y recopilar información personal sensible de los sistemas comprometidos. Estas herramientas representan un avance notable en las capacidades técnicas de Corea del Norte, permitiendo a los atacantes extraer datos del host y credenciales de las víctimas mientras evaden los mecanismos tradicionales de detección en los puntos finales.

Tácticas de ingeniería social impulsadas por IA y ClickFix

Más allá del despliegue de malware, la operación vinculada a Corea del Norte aprovecha tácticas sofisticadas de ingeniería social que combinan tecnología de IA con métodos tradicionales de phishing. La campaña explota cuentas comprometidas de Telegram para establecer una falsa confianza con los objetivos, y luego escala a la organización de reuniones fraudulentas en Zoom con videos deepfake generados por IA de personas legítimas. Las víctimas son manipuladas posteriormente para ejecutar comandos ocultos mediante ataques ClickFix, una técnica que engaña a los usuarios para que ejecuten código malicioso disfrazado de reparaciones legítimas del sistema o avisos de seguridad. Este enfoque multinivel que combina inteligencia artificial, robo de credenciales y psicología demuestra cómo los actores de amenazas están evolucionando más allá de campañas tradicionales solo de malware.